無断収集画像で顔認識AI作ったClearview、サーバー誤設定でソースコードなど情報流出

SNSなどウェブにアップロードされた約30億枚の顔写真と個人情報を無断取得し、それを使って顔認識AIを構築、販売していたClearview AIが、また機密情報を流出しています。

今回は問題の顔認識ソフトウェアのソースコードや秘密鍵、証明書情報といったデータ、クラウドストレージのアカウント情報が納められたサーバーが、不適切な設定により誰でも利用できるようになっていたとのこと。さらにクラウドストレージには、テスト用に作成されたアプリと未リリースアプリのコピーが保管されていたほか、企業内のプライベート通信で利用できるSlackのアクセス情報も公開されていました。

SNSプラットフォーム企業のプライバシーに関するポリシーを無視して収集した約30億もの画像データを使って鍛えられたClearview AIの顔認識ソフトウェアは、これまで法執行機関にのみ販売され、一部では利用されていました。しかし、今年に入ってからはWalmart、Best Buyといった民間企業やNBAのような団体に売り込みをかけていると報道されています。

Clearviewの創業者Hoan Ton-That氏は「われわれのシステムの欠陥を発見した人に報奨金を提供するバグ報奨金プログラムを設置した」とTechCrunchに述べました。そして報奨金プログラムに未登録のSpiderSilk社によって報告された今回の欠陥については「個人を特定できる情報、検索履歴、または生体認証情報を暴露するものではなかった」と述べています。一方、SpiderSilk社はセキュリティ面の問題を公にできなくなるため報奨金の受け取りを拒否したと主張しています。

新型コロナウイルスの感染が拡大する前、Clearview AIを巡ってはイリノイ州で生体情報プライバシー法(BIPA)にこの技術が抵触するとの判決が下され、裁判官は州の住民のデータを破棄するよう命令していました。また2月には利用規約やポリシーを無視した画像取得に対してFacebookやGoogleなどのメジャーなウェブサービスが画像の無断収集をやめるよう要請。さらにカリフォルニア州の住民は、Clearview社の情報収集がカリフォルニア消費者プライバシー法(CCPA)に反するとして集団訴訟を起こしています。

Source: TechCrunch